情報セキュリティ
情報セキュリティ
教育
教育
この単元の構成と目的
この単元の構成と目的
序
教育実施状況の現状
1
職員教育の項目とポイント
2
教育テーマに対する対象の考え方
ここでは、情報セキュリティ教育について考えます。情報セキュリティマネジメ
ントシステムでは、D(運用)の一部を担うこととなります。
情報セキュリティポリシーを策定し、対策を立案されると、実行するのは職員で
す。教育は、その職員それぞれのセキュリティ意識を高めるため、また、セキュリ
ティ対策の必要性や文書等で説明できない部分に対して直接理解できるよいきっか
けになります。
そのように教育を実施していく中で、よく課題となるのが、どのような教育をど
のような対象に実施するかです。
そこで、特にテーマの二点についてテキストでは説明していきたいと思います。
なお、現在の教育の実施状況について参考までに最初にふれます。
序
序
教育実施状況の現状
教育実施状況の現状
この単元での基礎知識
この単元での基礎知識
◆現在の各団体での教育実施状況は、どのようになっているか
【
解
説
】
「地方自治情報管理概要」という資料があります。これは、地方公共団体における行
政情報化の推進状況調査の結果がまとめられたものです。行政情報化、電子自治体の推
進状況について、数多くの調査結果が統計的に述べられており、今回のCIO研修全般
以外の情報も多く載っています。
その中で、教育・研修の実施率についても掲載されておりますので、ここで紹介した
いと思います。
同資料では、教育・研修の実施について三種類述べられています。
○情報化(電子自治体について)
○個人情報保護について
○情報セキュリティについて
結果を抜粋すると、以下のような実施率(平成18年度時点)になっています。
どのような印象をもたれましたか。
テーマ 都道府県
実施率(%)
市区町村
実施率(%)
情報化 97.9 61.5
個人情報保護 93.6 50.0
情報セキュリティ 100 61.2
情報セキュリティ研修については、同資料でさらに分析がされています。それは、平
成15年度時点との比較です。
昨今の情報セキュリティ事件・事故の影響などもあってか、教育の実施率は急速に向
上しています。
しかし、これらの教育とその実施率は資料から理解できますが、教育の内容としては
これだけなのでしょうか。また、すべての教育を、すべての職員が参加しなくてはなら
ないのでしょうか。
この単元では、教育の実施項目とそれぞれの対象の選定について考えていきたいと思
います。
序
序
教育実施状況の現状
教育実施状況の現状
【 参 考 文 献 】
(1)地方自治情報管理概要 (総務省、平成18年)
参照:http://www.soumu.go.jp/s-news/2006/060928_5.html
情報セキュリティ研修の実施
平成15年度(%) 平成18年度(%)
都道府県 61.7 100
市区町村 21.9 61.2
1
1
職員教育の項目とポイント
職員教育の項目とポイント
ここでのテーマと課題
ここでのテーマと課題
◆職員に対する教育は、どのような内容で実施すればよいか
【
解
説
】
情報セキュリティに対する教育の項目については、情報セキュリティポリシーの規定
の数だけ、情報セキュリティ対策のそれぞれ観点でも複数の項目があるといえます。
ですから、情報セキュリティ教育の項目が尽きることは、ほぼないといえるかもしれ
ません。
しかし、すべての内容を一律に行うことはできません。それぞれの団体でのセキュリ
ティ対策の進み具合、年度ごとの全体的なテーマの設定、教育に費やせる時間、教育の
対象者などによって変わってきます。
そのため、教育の実施については、中期的な計画を立ること、その内容としては、そ
れぞれの年度でどの対象にどのような内容を実施するか、さらには、実施期間をいつに
するか、などについて検討し、CIOが承認することが必要となります。
計画の策定については、セキュリティ対策の一環として立てられるものとなるので、
ここでは、職員教育としてどのような項目があり、どのようなポイントで実施するとよ
いかについて考え、次の項で、具体的な対象者と対象に対するアプローチを考えていき
たいと思います。
1
1
職員教育の項目とポイント
職員教育の項目とポイント
さて、職員教育の項目ですが、簡単にあげるだけでも以下のようなものがあります。
教育に費やせる時間を踏まえて、毎年度のように実施した方が望ましいもの、テーマと
して1回以上設定することが望ましいもの、を組み合わせて実施することがよいかと思
います。
項目 ポイント 実施
タイミング
セキュリティ意識 ・セキュリティとはそもそもどのような
ことなのか
・セキュリティ対策がなぜ必要なのか
毎年度
セキュリティ
マネジメントシステム
・ISMSの考え方とはどのようなもの
か
・PDCAサイクルでどのようなことを
実施するか
毎年度
事件・事故事例 ・どのようなセキュリティ事件・事故が
発生しているか
・なぜ、セキュリティ事件・事故が発生
してしまったのか
毎年度
監査結果の周知 ・内部監査又は外部監査の結果、団体で
特に指摘が多かったものは何か
・具体的な対策の実施方法について
監査実施の
翌年度
OA教育 ・Word,Excelの効果的な使い方
・Word,Excelのセキュリティ設定方法
適宜
自宅における
セキュリティ対策
・庁外ではどのようなセキュリティ対策
を実施したらよいか
・自宅パソコンの設定状況の確認方法
テーマとして
1回以上
情報セキュリティ
ポリシーの内容
・セキュリティポリシーの規定の説明と
その規定がなぜあるか
・リスクに基づく考え方
・制定又は見直しのポイント
ポリシー制定、
見直し時
システム開発時の
セキュリティ対策
・システム開発を行う場合のセキュリ
ティ対策のポイントは何か
・運用後も考えたシステム開発とはどの
ようなものか
テーマとして
1回以上
1
1
職員教育の項目とポイント
職員教育の項目とポイント
項目 ポイント 実施
タイミング
情報セキュリティ
実施手順策定
・実施手順がなぜ必要なのか
・実施手順はどのように策定するか
実施手順の
策定、見直し時
リスクアセスメント
実施方法
・脅威、脆弱性、リスクの違いとリスク
の考え方
・リスクアセスメントはどのように実施
し、報告するか
リスクアセスメ
ントの実施時
外部委託業者への
セキュリティ対策
・契約書の内容の説明と注意すべきこと
は何か
・契約書の雛型にかかれていないセキュ
リティに関する注意事項とは
テーマとして
1回以上
技術的セキュリティ
対策の実施方法
・サーバ、システムに対するセキュリ
ティ対策はどのように行うか
・セキュリティパッチ、リストアなどの
テストの考え方と実施方法
テーマとして
1回以上
物理的セキュリティ
対策の実施方法
・第三者の脅威にはどのようなものがあ
るか
・物理的セキュリティを実施できるもの
とできないもの
テーマとして
1回以上
内部監査員養成 ・内部監査がなぜ必要なのか
・内部監査実施のポイント
内部監査員を
養成する都度
マネジメントレビュー
実施概要
・マネジメントレビューの必要性とは
・マネジメントレビューで実施すべきこ
と気をつけるべきことは何か
初回のマネジメ
ントレビュー
実施前
新任職員研修 ・団体でのセキュリティの考え方
・セキュリティ対策で実施すべきこと
新任職員採用時
個人情報保護研修 ・個人情報保護条例の内容について
・個人情報保護とセキュリティ対策の関
連性
テーマとして
1回以上
1
1
職員教育の項目とポイント
職員教育の項目とポイント
職員教育は、今あげたもの以外もあります。
また、職員教育の実施方法自体にも色々あります。以下に、例とそれぞれのメリッ
ト・デメリットをあげます。
実施方法 メリット デメリット
座学による教育 ・一度に多くの人数に対して
実施できる
・同一の内容を周知しやすい
・対象者の興味がないとあ
きられてしまう
・参加する職員が少なくな
る傾向がある
参加型の教育 ・参加することで、理解が促
進される
・ある程度のまとめた人数に
対して実施できる
・テーマの設定が難しい
・結果を踏まえた臨機応変
な教育の実施が必要となる
討議型の教育 ・討議を行うことで、理解が
促進され、他人の考えも聞く
ことができる
・一度に多くの職員に対し
て実施できない
・討議するために、ある程
度の時間と前提知識が必要
となる
効果測定の実施 ・教育の効果があったか確認
できる
・結果を踏まえて翌年度以降
の計画が立てられる
・集計や分析に時間がかか
る
・質問項目によっては、傾
向にばらつきが出る
インターネットを
利用した研修
(e-learning)
・一度に多くの人数に対して
実施できる
・ある程度、対象者が実施す
るタイミングを決定できる
・内容を理解されているか
確認することが必要となる
・受講率が低くなる傾向が
ある
2
2
教育テーマに対する対象の考え方
教育テーマに対する対象の考え方
ここでのテーマと課題
ここでのテーマと課題
◆どのような対象に対して、どういう教育を実施すればよいか
【
解
説
】
前の項では、職員教育の項目について、様々な内容と方法があることを述べました。
しかし、すべての職員に対して、一律な教育内容である必要はありません。
例えば、新任職員に対しては、自団体での情報セキュリティ対策を最初に伝えなくて
はならないですし、システム開発を担当される職員に対しては、システム開発や運用に
関する知識が必要となってきます。
よって、それぞれの団体での計画、方向性に依存することになります。ですが、教育
を実施する中で、大きなポイントとなることが一つあります。
それは、
セキュリティ意識は、上位役職の方に依存される
セキュリティ対策は、現場の職員の方に依存される
ということです。
例えば、「課」という組織に照らし合わせますと、その課のセキュリティ意識は、課
長、係長、班長などによって違いが表れます。また、対策がされているかどうかは、実
際のセキュリティリーダ(情報化担当)を始めとした職員によって違いが表れます。こ
れが、団体であれば、首長やCIOのセキュリティ意識によって、団体間のセキュリ
ティに対する取組み方に差が出てくることになります。
よって、この意識と対策の両輪を踏まえた教育の実施が必要となってきます。
2
2
教育テーマに対する対象の考え方
教育テーマに対する対象の考え方
では、意識と対策の両輪を踏まえた教育の実施とは、どのようなものとなるでしょう
か。
まず、「セキュリティ意識は、上位役職の方に依存される」ことから、このような対
象の方に、セキュリティの必要性、自団体の取組み状況などを踏まえた、意識付けの教
育が必要になると考えられます。また、意識付けは継続して行わなければならないもの
ですので、ほぼ毎年度の実施が必要となるでしょう。
もう一方で、「セキュリティ対策は、現場の職員の方に依存される」ことから、この
ような対象の方に、具体的なセキュリティ対策の実施方法、自団体での取組みのポイン
トなどを踏まえた教育が必要になると考えられます。なお、この教育に、セキュリティ
の必要性を訴えるデモンストレーションなどを積極的に盛り込むこと、より効果的とな
ります。これらの実施は、対象が多いので、計画的にすべての職員が一度以上は参加で
きるようにすることが必要になるでしょう。
また、リスクに対する考え方や通常の業務内容及び実施場所で、教育の内容と対象を
考慮することも考えられます。例えば、出先機関、学校、病院などの職員ごとに実施す
ることです。
最後に、是非お勧めしたいのが、各課などにセキュリティリーダ(情報化担当)がい
る場合には、その方への教育を実施することです。
このような方は、多くの場合情報化やセキュリティ対策についての知識を多くもって
いるので、少し高度な内容や、より踏み込んだ内容を教育することも可能です。
その教育内容を、各課に持ち帰っていただき、各課ごとで周知していただくことで、
結果としては、原課でより多くの方がセキュリティ対策を実施されることが期待できま
す。
この単元での課題を考える
この単元での課題を考える
課題を考える
課題を考える
情報セキュリティ対策を職員に周知・徹底するために、有効な手段
について検討してください。
【 事前学習課題4 】
これまで、情報セキュリティについては、「情報セキュリティ概論」、「情報セキュ
リティポリシー評価と見直し及び情報セキュリティ監査」及び「情報セキュリティ教
育」と学んできました。
これらを踏まえて、自団体で情報セキュリティ対策を周知・徹底していく上で、有効
な手段について検討し、様式に記入してください。
(実際に自団体で取り組んでいる事例又はうまく周知できずに苦労している事例等)
なお、今まで学んだこと以外にも有効な手段があれば、記入していただいてかまいま
せん。
なお様式は、各自でカスタマイズしていただいてかまいません。
「事前学習課題04:様式」に記入
